上級部門通知局域網(wǎng)內存在僵尸木馬要求網(wǎng)絡進行整改,作為網(wǎng)管人員需要怎樣去處置解決這個問題呢?首先,上級部門只能檢測到局域網(wǎng)總出口的IP地址,并不能識別終端的IP地址。當網(wǎng)內的終端數(shù)量比較多時,每臺電腦做病毒查殺的工作量太大了,網(wǎng)管人員會很頭疼這個問題。
比較合理的方案是在局域網(wǎng)內部署一臺入侵檢測系統(tǒng),通過對網(wǎng)絡數(shù)據(jù)包進行分析檢測,從而發(fā)現(xiàn)問題主機。在本文中,我將以“WSG上網(wǎng)行為管理”為例,來介紹如何進行內網(wǎng)的木馬檢測。
WSG上網(wǎng)行為管理中內置了“入侵防御”和“木馬檢測”這兩個安全防護模塊,這兩個模塊的檢測原理都是入侵檢測snort。如下圖:
入侵防御模塊主要用于檢測對內網(wǎng)的攻擊事件,一旦檢測到外網(wǎng)攻擊就可以阻止攻擊來源IP以阻斷后續(xù)的攻擊。而木馬檢測模塊主要用于檢測局域網(wǎng)內的木馬病毒特征,追蹤查找到中了木馬病毒的問題終端。木馬檢測模塊,可以檢測以下特征:
WSG上網(wǎng)行為管理的特征庫是基于snort的,木馬檢測分為以下幾個大類:
indicator-compromise: 檢測內網(wǎng)被惡意軟件感染的終端。
indicator-obfuscation: 惡意軟件的模糊特征檢測。
indicator-scan: 檢測惡意軟件的掃描行為。
indicator-shellcode:檢測shellcode的執(zhí)行特征。
malware-backdoor:檢測后門端口的通訊特征。 如果某個惡意軟件打開一個端口并等待其控制功能的傳入命令,則會出現(xiàn)此類檢測。
malware-cnc:此類別包含已識別的僵尸網(wǎng)絡流量的已知惡意命令和控制活動。
malware-tool:此類別包含處理本質上可被視為惡意工具的規(guī)則。
木馬檢測模塊還可以檢測各種挖礦、后門、病毒等各種木馬特征。如下圖:
一旦檢測到木馬后,會在“木馬檢測”的“檢測記錄”中,記錄檢測的IP地址等信息,從而您可以根據(jù)IP地址去定位實際的電腦。然后對這臺電腦進行查殺整改。
